Sécurité informatique et protection des données personnelles : attention aux sanctions de la CNIL

La CNIL a récemment sanctionné deux médecins libéraux au regard des défaillances de leur système dans la protection des données de santé (délibérations du 7 décembre 2020). En effet, "des milliers d'images médicales hébergées sur des serveurs appartenant à deux médecins libéraux étaient librement accessibles sur Internet". En cause, "un mauvais choix de configuration de leur box Internet ainsi qu'un mauvais paramétrage de leur logiciel d'imagerie médicale", les images médicales sur les serveurs n'étant pas chiffrées et les rendaient accessibles.

La CNIL a sanctionné d'amendes de 3000 et 6000 euros les médecins concernés, au titre d'un manquement à l'obligation de sécurité des données (article 32 du RGPD) et a également retenu un manquement à l'obligation de notifier les violations de données à la CNIL (article 33 du RGPD) puisque la CNIL n'a pas été informée. En effet, les organismes qui traitent des données à caractère personnel ont une obligation générale de sécurité. On précise que tous les organismes, publics comme privés et quelle que soit leur taille, sont soumis à ces obligations dès lors qu'ils traitent des données personnelles et qu'ils ont connaissance d'une violation de données personnelles. La CNIL doit être informée par le biais d'un téléservice sécurisé dédié. Enfin, le site cybermarveillance.gouv.fr propose différents outils et par exemple les 10 mesures essentielles pour assurer la sécurité numérique.

Jurisprudence
Le point sur
Le point sur web
Questions-réponses